1. Introduccion y Alcance

El presente Acuerdo de Procesamiento de Datos ("DPA") complementa los Terminos y Condiciones de Kory Marketing Hub, operado por Kory Agencia Digital ("Kory", "nosotros", "nuestro"). Este DPA aplica cuando Kory procesa datos personales en nombre del Cliente ("Responsable del Tratamiento", "Cliente", "usted") en el marco de la prestacion de los servicios de la Plataforma.

Este acuerdo se rige por la Ley 1581 de 2012 de Colombia y su Decreto Reglamentario 1377 de 2013 sobre proteccion de datos personales, asi como por el Reglamento General de Proteccion de Datos (GDPR) de la Union Europea cuando aplique al tratamiento de datos de titulares ubicados en el Espacio Economico Europeo (EEE).

Este DPA forma parte integral de los Terminos y Condiciones y prevalecera sobre cualquier disposicion contradictoria contenida en dichos Terminos en lo que respecta al tratamiento de datos personales. Al aceptar los Terminos y Condiciones, el Cliente acepta las disposiciones de este DPA en su totalidad.

El objetivo de este DPA es establecer las obligaciones de las partes en relacion con la proteccion de datos personales, garantizando que el tratamiento se realice de conformidad con la legislacion aplicable y con las mejores practicas internacionales en materia de privacidad y seguridad de la informacion.

2. Definiciones

Para efectos de este DPA, los siguientes terminos tendran el significado que se indica a continuacion:

• Datos Personales: cualquier informacion vinculada o que pueda asociarse a una persona natural identificada o identificable, incluyendo pero no limitandose a nombre, correo electronico, numero de telefono, direccion IP, datos de ubicacion, identificadores en linea y cualquier otro dato que permita identificar directa o indirectamente a una persona.
• Datos Sensibles: aquellos datos personales que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminacion, incluyendo datos que revelen origen racial o etnico, orientacion politica, convicciones religiosas o filosoficas, pertenencia a sindicatos, datos relativos a la salud, vida sexual, datos biometricos y datos geneticos. Kory no solicita ni procesa intencionalmente Datos Sensibles; sin embargo, los Clientes podrian inadvertidamente incluir Datos Sensibles en campos de texto libre, conversaciones o archivos adjuntos.
• Tratamiento (Procesamiento): cualquier operacion o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no, incluyendo la recoleccion, registro, organizacion, estructuracion, almacenamiento, adaptacion, modificacion, extraccion, consulta, utilizacion, comunicacion por transmision, difusion, comparacion, interconexion, limitacion, supresion o destruccion de datos personales.
• Responsable del Tratamiento (Controller): el Cliente que determina los fines y medios del tratamiento de datos personales a traves de la Plataforma. El Responsable es la persona natural o juridica, publica o privada, que por si misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos.
• Encargado del Tratamiento (Processor): Kory Agencia Digital, que procesa datos personales en nombre y por instruccion del Responsable del Tratamiento. El Encargado realiza el tratamiento de datos por cuenta del Responsable.
• Sub-encargado (Sub-processor): tercero contratado por Kory que procesa datos personales en nombre del Responsable del Tratamiento para cumplir con las funcionalidades de la Plataforma. Los sub-encargados estan sujetos a obligaciones contractuales equivalentes a las establecidas en este DPA.
• Titular de los Datos (Data Subject): persona natural cuyos datos personales son objeto de tratamiento. En el contexto de la Plataforma, los Titulares incluyen los empleados del Cliente, los clientes o prospectos del Cliente, los destinatarios de mensajes, y los visitantes de formularios web.
• Violacion de Datos Personales (Data Breach): cualquier violacion de la seguridad que ocasione la destruccion, perdida, alteracion accidental o ilicita, comunicacion o acceso no autorizado a datos personales transmitidos, conservados o tratados de otra forma.
• DPA (Acuerdo de Procesamiento de Datos): el presente documento, que establece las condiciones bajo las cuales Kory procesa datos personales en nombre del Cliente, conforme a los requisitos del Articulo 28 del GDPR y la legislacion colombiana aplicable.
• DPIA (Evaluacion de Impacto en la Proteccion de Datos): evaluacion sistematica de las operaciones de tratamiento previstas, su necesidad y proporcionalidad, asi como de los riesgos para los derechos y libertades de los Titulares de los Datos, y las medidas previstas para afrontar dichos riesgos.
• Autoridad de Supervision (SIC): la Superintendencia de Industria y Comercio de Colombia, entidad encargada de la vigilancia y cumplimiento de la normativa de proteccion de datos personales en Colombia, o la autoridad de proteccion de datos competente en la jurisdiccion del Titular de los Datos.
• Clausulas Contractuales Tipo (Standard Contractual Clauses - SCC): clausulas estandarizadas adoptadas por la Comision Europea (Decision de Ejecucion 2021/914) para garantizar salvaguardas adecuadas en las transferencias internacionales de datos personales fuera del EEE.
• Datos de la Plataforma (Platform Data): todos los datos personales procesados a traves de Kory Marketing Hub, incluyendo datos de CRM, mensajeria, campanas, integraciones y cualquier otro dato ingresado, generado o procesado mediante la Plataforma.
• Plataforma de Terceros (Third-Party Platform): cualquier servicio externo integrado con Kory Marketing Hub, incluyendo Meta Platforms (WhatsApp, Instagram, Messenger, Facebook), Google (Search Console, Analytics, Ads), Google Vertex AI y Mercado Pago.
• Anonimizacion: proceso irreversible mediante el cual los datos personales se transforman de tal manera que ya no pueden ser atribuidos a un Titular de los Datos especifico, ni siquiera con el uso de informacion adicional. Los datos anonimizados no se consideran datos personales y no estan sujetos a las disposiciones de este DPA.
• Seudonimizacion: tratamiento de datos personales de manera que ya no puedan atribuirse a un Titular sin utilizar informacion adicional, siempre que dicha informacion adicional figure por separado y este sujeta a medidas tecnicas y organizativas destinadas a garantizar que los datos no se atribuyan a una persona identificada o identificable.

3. Roles y Responsabilidades

3.1 El Cliente como Responsable del Tratamiento

El Cliente actua como Responsable del Tratamiento y determina los fines y medios del tratamiento de datos personales. El Cliente es responsable de:

• Garantizar que cuenta con la base legal adecuada para el tratamiento de los datos personales (consentimiento, ejecucion de un contrato, interes legitimo, obligacion legal u otra base legal aplicable conforme a la Ley 1581 de 2012 y/o el GDPR).
• Obtener el consentimiento previo, expreso e informado de los Titulares de los Datos cuando el tratamiento lo requiera, conforme al articulo 9 de la Ley 1581 de 2012.
• Proporcionar avisos de privacidad claros, completos y accesibles a los Titulares de los Datos conforme a la legislacion aplicable, informando sobre la identidad del Responsable, los fines del tratamiento, los derechos de los Titulares y los canales para ejercerlos.
• Emitir instrucciones documentadas a Kory respecto al tratamiento de datos personales, incluyendo la naturaleza del tratamiento, su duracion, tipos de datos y categorias de Titulares.
• Evaluar que las medidas de seguridad implementadas por Kory sean adecuadas para el nivel de riesgo del tratamiento, considerando la naturaleza, alcance, contexto y fines del tratamiento.
• Atender y responder a las solicitudes de los Titulares de los Datos relativas al ejercicio de sus derechos (acceso, rectificacion, eliminacion, portabilidad, oposicion) dentro de los plazos legales establecidos.
• Realizar Evaluaciones de Impacto en la Proteccion de Datos (DPIA) para tratamientos que presenten un alto riesgo para los derechos y libertades de los Titulares, incluyendo el uso de perfilado automatizado, procesamiento a gran escala de datos sensibles, o monitoreo sistematico.
• No instruir a Kory para procesar datos personales de manera que viole la legislacion aplicable en materia de proteccion de datos.
• Garantizar que los datos personales ingresados en la Plataforma sean exactos, completos y actualizados, y rectificarlos cuando sea necesario.
• Informar a Kory de cualquier cambio en las instrucciones de tratamiento que pueda afectar las obligaciones de Kory en virtud de este DPA.
• Mantener un registro de las actividades de tratamiento realizadas bajo su responsabilidad, conforme al articulo 30 del GDPR cuando sea aplicable.

3.2 Kory como Encargado del Tratamiento

Kory actua como Encargado del Tratamiento y procesa datos personales unicamente conforme a las instrucciones documentadas del Cliente. Kory no procesara datos personales para ningun proposito diferente a la prestacion de los servicios contratados, salvo que la ley lo requiera. En caso de que la ley exija a Kory procesar datos personales para otros fines, Kory informara al Cliente de dicho requisito legal antes de proceder al tratamiento, a menos que la ley lo prohiba por razones de interes publico.

Si Kory considera razonablemente que una instruccion del Cliente infringe la legislacion aplicable en materia de proteccion de datos, Kory informara al Cliente de inmediato y podra suspender la ejecucion de la instruccion hasta que el Cliente la confirme o modifique.

4. Datos Procesados

4.1 Categorias de Titulares de Datos

Los datos personales procesados a traves de la Plataforma corresponden a las siguientes categorias de Titulares:

4.2 Tipos de Datos Personales por Categoria

4.3 Actividades de Tratamiento

Kory realiza las siguientes operaciones de tratamiento sobre los datos personales del Cliente:

4.4 Finalidad del Tratamiento

Los datos personales se procesan exclusivamente para la prestacion de los servicios de CRM, mensajeria unificada (inbox omnicanal), pipeline de ventas, campanas publicitarias, herramientas SEO, paginas de enlaces, cotizaciones, automatizaciones, analitica y funcionalidades de inteligencia artificial descritos en los Terminos y Condiciones de la Plataforma. Kory no utilizara los datos personales del Cliente para fines propios, incluyendo marketing, perfilado comercial o venta de datos a terceros.

4.5 Duracion del Tratamiento

El tratamiento de datos personales se realizara durante la vigencia del contrato de servicios entre Kory y el Cliente, y hasta que se complete la devolucion o eliminacion de datos conforme a la seccion 14 de este DPA. Tras la terminacion del contrato, Kory conservara los datos personales unicamente durante el periodo necesario para cumplir con las obligaciones legales aplicables o para completar el proceso de devolucion o eliminacion.

5. Obligaciones de Kory como Encargado del Tratamiento

En cumplimiento del Articulo 28 del GDPR y la legislacion colombiana aplicable, Kory se compromete a las siguientes obligaciones:

• Instrucciones documentadas: procesar datos personales unicamente conforme a las instrucciones documentadas del Cliente, incluyendo las transferencias de datos a terceros paises o a organizaciones internacionales, salvo que una obligacion legal del derecho de la Union o del Estado miembro que le sea aplicable lo requiera. En tal caso, Kory informara al Cliente de esa exigencia legal antes del tratamiento, salvo prohibicion legal.
• Confidencialidad del personal: garantizar que las personas autorizadas para procesar datos personales se hayan comprometido a respetar la confidencialidad mediante acuerdos contractuales vinculantes o esten sujetas a una obligacion de confidencialidad de naturaleza legal.
• Medidas de seguridad (Articulo 32 GDPR): implementar las medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, segun proceda: (a) la seudonimizacion y el cifrado de datos personales; (b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rapida en caso de incidente fisico o tecnico; (d) un proceso de verificacion, evaluacion y valoracion regulares de la eficacia de las medidas tecnicas y organizativas.
• Sub-encargados: no recurrir a otro encargado del tratamiento sin la autorizacion previa por escrito, especifica o general, del Cliente. En caso de autorizacion general, Kory informara al Cliente sobre cualquier cambio previsto en la incorporacion o sustitucion de sub-encargados conforme a la seccion 7.
• Derechos de los Titulares: asistir al Cliente, mediante medidas tecnicas y organizativas apropiadas, en el cumplimiento de su obligacion de responder a las solicitudes de los Titulares de los Datos para ejercer sus derechos (acceso, rectificacion, supresion, portabilidad, limitacion, oposicion).
• Asistencia en obligaciones de seguridad: ayudar al Cliente a garantizar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, la notificacion de violaciones de seguridad a la autoridad de control, la comunicacion de violaciones a los Titulares, la evaluacion de impacto relativa a la proteccion de datos y las consultas previas, teniendo en cuenta la naturaleza del tratamiento y la informacion disponible para Kory.
• Notificacion de incidentes: notificar al Cliente sobre cualquier violacion de seguridad de datos personales sin dilacion indebida y, en cualquier caso, dentro de las 72 horas siguientes a su deteccion, conforme a la seccion 11.
• Evaluaciones de impacto (DPIA): asistir al Cliente en la realizacion de Evaluaciones de Impacto en la Proteccion de Datos y en las consultas previas con autoridades de supervision, cuando sea requerido, conforme a la seccion 9.
• Devolucion o eliminacion: a la terminacion del contrato, eliminar o devolver todos los datos personales al Cliente (a eleccion de este), dentro de los 30 dias siguientes, y suprimir las copias existentes salvo que la legislacion aplicable exija su conservacion, conforme a la seccion 14.
• Auditorias e inspecciones: poner a disposicion del Cliente toda la informacion necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA, y permitir y contribuir a la realizacion de auditorias, incluidas inspecciones, por parte del Cliente o de otro auditor autorizado por el Cliente, conforme a la seccion 13.
• Informacion sobre instrucciones infractoras: informar inmediatamente al Cliente si, en su opinion, una instruccion infringe el GDPR, la Ley 1581 de 2012 u otras disposiciones en materia de proteccion de datos de la Union Europea, de un Estado miembro o de Colombia.
• Registros de actividades: mantener un registro de todas las categorias de actividades de tratamiento efectuadas por cuenta del Cliente, conforme a la seccion 10.

6. Obligaciones del Cliente como Responsable del Tratamiento

En su calidad de Responsable del Tratamiento, el Cliente se compromete a las siguientes obligaciones, cuyo incumplimiento exime a Kory de responsabilidad:

• Base legal: contar con una base legal valida para cada actividad de tratamiento de datos personales realizada a traves de la Plataforma, ya sea consentimiento del Titular, ejecucion de un contrato, cumplimiento de una obligacion legal, proteccion de intereses vitales, cumplimiento de una mision de interes publico o interes legitimo del Responsable.
• Consentimiento: cuando la base legal sea el consentimiento, obtener el consentimiento previo, expreso e informado del Titular de los Datos, garantizando que sea libre, especifico, informado e inequivoco. El Cliente debera conservar evidencia del consentimiento otorgado.
• Informacion a los Titulares: informar a los Titulares de los Datos sobre el tratamiento de sus datos personales mediante avisos de privacidad que incluyan, como minimo: identidad del Responsable, finalidades del tratamiento, categorias de datos tratados, destinatarios, transferencias internacionales, periodo de conservacion, derechos del Titular y canales para ejercerlos.
• Solicitudes de derechos (DSAR): atender y responder a las solicitudes de los Titulares relativas al ejercicio de sus derechos dentro de los plazos legales: 10 dias habiles para consultas y 15 dias habiles para reclamos conforme a la Ley 1581 de 2012, o un mes conforme al GDPR.
• Evaluaciones de impacto: realizar Evaluaciones de Impacto en la Proteccion de Datos (DPIA) para aquellos tratamientos que presenten un alto riesgo para los derechos y libertades de los Titulares, especialmente cuando se utilicen funcionalidades de IA, perfilado automatizado o procesamiento masivo de datos.
• Licitud de las instrucciones: no instruir a Kory para procesar datos personales de manera ilicita o contraria a la legislacion aplicable en materia de proteccion de datos. El Cliente sera responsable de garantizar que todas las instrucciones de tratamiento sean conformes a la ley.
• Datos sensibles: si el Cliente ingresa datos sensibles en la Plataforma (directa o indirectamente a traves de campos de texto libre, conversaciones o archivos), el Cliente sera el unico responsable de obtener la autorizacion expresa del Titular conforme al articulo 6 de la Ley 1581 de 2012.
• Exactitud de los datos: garantizar que los datos personales ingresados en la Plataforma sean exactos, completos y actualizados, y tomar medidas razonables para rectificarlos cuando sea necesario.
• Cooperacion en auditorias: cooperar con Kory y con las autoridades de supervision en el cumplimiento de las obligaciones de proteccion de datos.

7. Sub-procesadores

El Cliente otorga a Kory autorizacion general para contratar sub-procesadores para la prestacion de los servicios de la Plataforma. Kory garantiza que los sub-procesadores estaran sujetos a obligaciones contractuales de proteccion de datos equivalentes a las establecidas en este DPA.

7.1 Lista de Sub-procesadores Actuales

7.2 Proceso de Objecion a Sub-procesadores

Kory notificara al Cliente sobre cualquier cambio en la lista de sub-procesadores (incorporacion o sustitucion) con un minimo de 30 dias calendario de anticipacion, proporcionando informacion suficiente sobre el nuevo sub-procesador para permitir al Cliente evaluar el impacto. El procedimiento de objecion es el siguiente:

1. Notificacion: Kory enviara una notificacion por correo electronico al administrador del Cliente informando sobre el nuevo sub-procesador, incluyendo nombre, ubicacion, proposito, datos procesados y certificaciones de seguridad.
2. Periodo de objecion: el Cliente dispondra de 15 dias habiles desde la recepcion de la notificacion para presentar una objecion razonada por escrito a Kory, indicando los motivos especificos de la objecion.
3. Resolucion: Kory realizara esfuerzos comerciales razonables para resolver la objecion del Cliente, lo que puede incluir: (a) ofrecer un sub-procesador alternativo; (b) implementar medidas de seguridad adicionales; (c) modificar el alcance del tratamiento realizado por el sub-procesador.
4. Derecho de terminacion: si Kory no puede resolver razonablemente la objecion del Cliente dentro de los 30 dias calendario siguientes a la recepcion de la objecion, el Cliente podra dar por terminado el contrato de servicios sin penalidad, notificando a Kory por escrito. Kory procedera a la devolucion o eliminacion de datos conforme a la seccion 14.
5. Ausencia de objecion: si el Cliente no presenta objecion dentro del periodo establecido, se entendera que el Cliente ha autorizado al nuevo sub-procesador.

Kory garantiza que impondra a cada sub-procesador obligaciones contractuales de proteccion de datos sustancialmente equivalentes a las establecidas en este DPA, incluyendo obligaciones de confidencialidad, seguridad, notificacion de incidentes y eliminacion de datos.

8. Medidas de Seguridad

Kory implementa las siguientes medidas tecnicas y organizativas para proteger los datos personales procesados, conforme al Articulo 32 del GDPR y la legislacion colombiana:

8.1 Cifrado

• Cifrado AES-256-GCM a nivel de aplicacion para credenciales de integracion, tokens OAuth y datos especialmente sensibles, con nonces unicos generados criptograficamente para cada operacion.
• Cifrado AES-256 en reposo para todos los datos almacenados en Firestore (cifrado predeterminado de Google Cloud con gestion automatica de claves).
• TLS 1.2+ / HTTPS para todos los datos en transito, sin excepciones.
• Cifrado de copias de seguridad con los mismos estandares aplicados a los datos en produccion.

8.2 Control de Acceso

• Control de acceso basado en roles (RBAC) con 7 roles diferenciados (super_admin, admin, supervisor, agente, trafiquer, seo, cliente), cada uno con permisos granulares.
• Aislamiento multi-tenant que garantiza la separacion logica de datos entre organizaciones a nivel de base de datos y API.
• Principio de minimo privilegio en el acceso a datos y funcionalidades, con revision periodica de permisos.

8.3 Autenticacion

• Firebase Authentication para la gestion de identidades de usuarios.
• Gestion de sesiones con tokens seguros, expiracion configurable y renovacion automatica.
• Registro por invitacion exclusivamente (sin auto-registro), lo que limita el acceso a usuarios autorizados por un administrador de organizacion.

8.4 Infraestructura

• Alojamiento en Google Cloud Platform, certificado en SOC 1/2/3, ISO 27001, ISO 27017 e ISO 27018.
• Google Cloud Run para servicios de backend con escalado automatico.
• Firebase (Firestore, Auth, Storage) como servicios gestionados por Google.

8.5 Monitoreo y Registros

• Logs de auditoria para acciones administrativas y cambios de configuracion.
• Registro de accesos a operaciones sensibles.
• Seguimiento de acciones de impersonacion con la identidad real del administrador.

8.6 Respaldos

• Copias de seguridad automaticas y cifradas a traves de Firestore.
• Capacidad de recuperacion a un punto en el tiempo (PITR).

8.7 Personal

• Acuerdos de confidencialidad (NDA) con todo el personal de Kory.
• Acceso a datos basado en el principio de necesidad de conocer.
• Capacitacion periodica en proteccion de datos y seguridad de la informacion.

Para informacion detallada sobre nuestras medidas de seguridad, consulte nuestra pagina de Practicas de Seguridad.

9. Evaluacion de Impacto en la Proteccion de Datos (DPIA)

Cuando el tratamiento de datos personales a traves de la Plataforma pueda entrañar un alto riesgo para los derechos y libertades de los Titulares, Kory asistira al Cliente en la realizacion de Evaluaciones de Impacto conforme al Articulo 35 del GDPR.

9.1 Cuando se Requiere una DPIA

El Cliente debera considerar la realizacion de una DPIA, entre otros, cuando:

• Utilice las funcionalidades de inteligencia artificial (Kory AI) para el procesamiento automatizado de datos personales que produzca efectos juridicos o afecte significativamente a los Titulares.
• Realice perfilado automatizado de leads mediante lead scoring, segmentacion o clasificacion automatizada.
• Procese datos personales a gran escala a traves de campanas masivas de mensajeria o publicidad.
• Combine datos de multiples fuentes (CRM, mensajeria, analytics, redes sociales) para crear perfiles detallados de los Titulares.
• Procese datos sensibles o datos de menores de edad a traves de la Plataforma.

9.2 Asistencia de Kory

Kory proporcionara al Cliente, bajo solicitud, la siguiente asistencia para la realizacion de DPIAs:

• Descripcion tecnica de las operaciones de tratamiento realizadas por la Plataforma.
• Informacion sobre las medidas de seguridad tecnicas y organizativas implementadas.
• Detalles sobre los sub-procesadores involucrados y su ubicacion.
• Informacion sobre las transferencias internacionales de datos y las salvaguardas aplicadas.
• Respuesta a cuestionarios de evaluacion de seguridad y privacidad en un plazo de 15 dias habiles.

9.3 Consultas Previas a Autoridades

Si la DPIA indica que el tratamiento entraña un alto riesgo que el Cliente no puede mitigar con medidas apropiadas, el Cliente debera consultar con la Superintendencia de Industria y Comercio (SIC) o con la autoridad de proteccion de datos competente antes de proceder al tratamiento. Kory asistira al Cliente en la preparacion de la documentacion necesaria para dicha consulta previa y cooperara con la autoridad de supervision en la medida requerida.

10. Registros de Actividades de Tratamiento

De conformidad con el Articulo 30(2) del GDPR, Kory mantiene un registro de todas las categorias de actividades de tratamiento efectuadas por cuenta del Cliente. Dicho registro contiene:

• El nombre y los datos de contacto de Kory como Encargado del Tratamiento y del Cliente como Responsable del Tratamiento.
• Las categorias de tratamientos efectuados por cuenta del Cliente (recoleccion, almacenamiento, consulta, uso, comunicacion, transferencia, supresion).
• Las transferencias de datos personales a terceros paises u organizaciones internacionales, con identificacion de los paises de destino y las salvaguardas adecuadas aplicadas.
• Una descripcion general de las medidas tecnicas y organizativas de seguridad implementadas conforme a la seccion 8.
• Los sub-procesadores utilizados y las categorias de tratamiento que realizan.

Kory pondra este registro a disposicion del Cliente y de la autoridad de supervision competente cuando sea requerido.

11. Notificacion de Incidentes de Seguridad

En caso de una violacion de seguridad que afecte datos personales procesados en nombre del Cliente, Kory seguira el siguiente plan de respuesta a incidentes:

11.1 Descubrimiento y Clasificacion

• Kory mantiene sistemas de monitoreo continuo para la deteccion temprana de incidentes de seguridad.
• Una vez detectado un posible incidente, se clasifica segun su severidad: P1 (critico - datos personales comprometidos), P2 (alto - acceso no autorizado detectado), P3 (medio - vulnerabilidad identificada sin evidencia de explotacion), P4 (bajo - anomalia que requiere investigacion).
• Los incidentes P1 y P2 activan el protocolo de notificacion al Cliente de forma inmediata.

11.2 Contencion

• Kory implementara medidas de contencion inmediatas para limitar el alcance del incidente y prevenir danos adicionales.
• Las medidas de contencion pueden incluir: aislamiento de sistemas afectados, revocacion de credenciales comprometidas, bloqueo de accesos no autorizados, suspension temporal de funcionalidades afectadas.

11.3 Notificacion al Cliente

Kory notificara al Cliente dentro de las 72 horas siguientes a la deteccion del incidente. La notificacion incluira:

• Una descripcion de la naturaleza de la violacion de seguridad.
• Las categorias y numero aproximado de Titulares de Datos afectados.
• Las categorias y volumen aproximado de registros de datos personales afectados.
• El nombre y datos de contacto del punto de contacto en Kory para obtener informacion adicional.
• Una descripcion de las consecuencias probables de la violacion de seguridad.
• Una descripcion de las medidas adoptadas o propuestas para remediar la violacion, incluyendo las medidas para mitigar sus posibles efectos negativos.

11.4 Notificacion a Autoridades y Titulares

La decision de notificar a las autoridades de proteccion de datos (SIC u otra autoridad competente) y a los Titulares de los Datos afectados corresponde al Cliente como Responsable del Tratamiento. Kory asistira al Cliente en la preparacion de las notificaciones requeridas y proporcionara toda la informacion necesaria para cumplir con los plazos legales (72 horas para la autoridad de supervision conforme al GDPR).

11.5 Remediacion y Post-mortem

• Kory implementara acciones correctivas para resolver la causa raiz del incidente y prevenir su recurrencia.
• Se realizara un analisis post-mortem detallado del incidente dentro de los 15 dias habiles siguientes a su resolucion, cuyo informe se compartira con el Cliente.
• Se actualizaran las medidas de seguridad y los procedimientos de respuesta a incidentes segun las lecciones aprendidas.

11.6 Documentacion

Kory mantendra un registro documentado de todos los incidentes de seguridad, incluyendo las circunstancias del incidente, sus efectos, las acciones correctivas implementadas y las lecciones aprendidas. Este registro estara disponible para auditorias del Cliente conforme a la seccion 13.

12. Transferencias Internacionales de Datos

En razon de los sub-procesadores utilizados, los datos personales pueden ser transferidos fuera de Colombia. Kory garantiza que dichas transferencias cumplen con los requisitos establecidos en la Ley 1581 de 2012 (articulo 26), el Decreto 1377 de 2013 y, cuando sea aplicable, el Capitulo V del GDPR.

12.1 Destinos y Mecanismos de Transferencia

12.2 Clausulas Contractuales Tipo (SCC)

Para las transferencias de datos personales a Estados Unidos, Kory se apoya en las Clausulas Contractuales Tipo adoptadas por la Comision Europea (Decision de Ejecucion 2021/914), incorporadas en los acuerdos de procesamiento de datos de Google Cloud y Meta Platforms. Estas clausulas proporcionan salvaguardas adecuadas para la proteccion de datos personales conforme al Capitulo V del GDPR y son reconocidas como mecanismo valido de transferencia por la Superintendencia de Industria y Comercio de Colombia.

12.3 Cumplimiento con la Legislacion Colombiana

Conforme al articulo 26 de la Ley 1581 de 2012 y la Circular Externa 005 de 2017 de la SIC, Kory garantiza que:

• Los paises de destino cuentan con niveles adecuados de proteccion de datos o se han implementado salvaguardas contractuales apropiadas.
• Se ha informado al Cliente sobre las transferencias internacionales y los mecanismos de proteccion aplicados.
• Los contratos con sub-procesadores ubicados en terceros paises incluyen obligaciones de proteccion de datos equivalentes a las establecidas en la legislacion colombiana.

13. Derechos de los Titulares de Datos - Procedimiento Detallado

Kory asistira al Cliente en el cumplimiento de las solicitudes ejercidas por los Titulares de los Datos. A continuacion se detalla el procedimiento para cada derecho:

13.1 Derecho de Acceso (Consulta)

El Titular tiene derecho a conocer que datos personales suyos estan siendo procesados a traves de la Plataforma. Kory proporcionara al Cliente la informacion solicitada dentro de los 10 dias habiles siguientes a la recepcion de la solicitud del Cliente. La informacion se proporcionara en formato electronico legible.

13.2 Derecho de Rectificacion

El Titular tiene derecho a solicitar la correccion de datos personales inexactos o incompletos. Kory implementara las rectificaciones solicitadas por el Cliente dentro de los 15 dias habiles siguientes a la recepcion de la solicitud. La Plataforma ofrece herramientas que permiten al Cliente realizar rectificaciones directamente en los registros de leads, contactos y datos de CRM.

13.3 Derecho de Supresion (Eliminacion)

El Titular tiene derecho a solicitar la eliminacion de sus datos personales. Kory procedera a la eliminacion solicitada dentro de los 30 dias calendario siguientes a la recepcion de la solicitud del Cliente, salvo que exista una obligacion legal de conservacion. Para mas informacion, consulte nuestra pagina de Eliminacion de Datos.

13.4 Derecho de Portabilidad

El Titular tiene derecho a recibir sus datos personales en un formato estructurado, de uso comun y lectura mecanica. Kory proporcionara los datos solicitados en formato JSON o CSV, segun la preferencia del Cliente, dentro de los 15 dias habiles siguientes a la solicitud. Los datos exportables incluyen: datos de perfil, historial de conversaciones, registros de leads, datos de CRM, y metadatos de interacciones.

13.5 Derecho de Limitacion del Tratamiento

El Titular tiene derecho a solicitar la limitacion del tratamiento de sus datos personales. Kory implementara las restricciones solicitadas marcando los datos afectados para limitar su tratamiento futuro, manteniendo el almacenamiento pero restringiendo otras operaciones.

13.6 Derecho de Oposicion

El Titular tiene derecho a oponerse al tratamiento de sus datos personales. Kory asistira al Cliente en la evaluacion de las solicitudes de oposicion y en la implementacion de las medidas necesarias.

13.7 Solicitudes Recibidas Directamente por Kory

Si Kory recibe directamente una solicitud de un Titular de los Datos, Kory: (a) informara al Titular que debe dirigir su solicitud al Cliente (Responsable del Tratamiento); (b) notificara al Cliente de dicha solicitud dentro de los 3 dias habiles siguientes; y (c) no respondera directamente a la solicitud del Titular sin instruccion previa del Cliente, salvo para informarle sobre la redireccion de la solicitud.

14. Devolucion y Eliminacion de Datos

A la terminacion del contrato de servicios entre Kory y el Cliente, se aplicara el siguiente procedimiento:

14.1 Periodo de Exportacion

El Cliente dispondra de un periodo de 30 dias calendario desde la fecha de terminacion del contrato para exportar sus datos a traves de las herramientas de la Plataforma. Los datos se podran exportar en los siguientes formatos:

• JSON: formato estructurado para importacion en otros sistemas.
• CSV: formato tabular compatible con hojas de calculo y herramientas de analisis.

Los datos exportables incluyen: registros de leads y contactos, historial de conversaciones, datos de pipeline, configuraciones, archivos de la base de conocimiento, y cualquier otro dato personal procesado a traves de la Plataforma.

14.2 Eliminacion

Transcurrido el periodo de exportacion, o antes si el Cliente lo solicita expresamente, Kory procedera a la eliminacion completa de todos los datos personales del Cliente de sus sistemas activos dentro de los 30 dias calendario siguientes. La eliminacion abarcara:

• Datos almacenados en Firestore (documentos, colecciones, subcolecciones).
• Archivos almacenados en Firebase Storage.
• Credenciales de integracion cifradas y tokens OAuth.
• Registros de autenticacion en Firebase Auth.
• Logs de auditoria vinculados a la organizacion del Cliente.

14.3 Certificacion de Eliminacion

A solicitud del Cliente, Kory proporcionara una certificacion por escrito confirmando la eliminacion de todos los datos personales de sus sistemas activos. La certificacion incluira: fecha de eliminacion, categorias de datos eliminados, sistemas de los que fueron eliminados, y confirmacion de la revocacion de accesos a plataformas de terceros.

14.4 Excepciones a la Eliminacion

Kory podra retener determinados datos despues de la terminacion del contrato cuando la legislacion aplicable lo exija, incluyendo:

• Datos de facturacion y registros contables: minimo 5 anos conforme a la legislacion tributaria colombiana (Estatuto Tributario, articulo 632).
• Registros financieros: hasta 10 anos conforme a la normativa de prevencion de lavado de activos y financiacion del terrorismo (SARLAFT).
• Datos sujetos a retencion por litigio pendiente o investigacion regulatoria.

Los datos retenidos por obligacion legal se almacenaran de forma segura y con acceso restringido, y seran eliminados una vez que la obligacion de conservacion expire.

15. Auditoria

El Cliente podra auditar el cumplimiento de Kory con las obligaciones establecidas en este DPA, sujeto a las siguientes condiciones:

• El Cliente debera notificar a Kory con al menos 30 dias de anticipacion por escrito, indicando el alcance y la duracion estimada de la auditoria.
• Las auditorias se realizaran durante horario laboral (lunes a viernes, 9:00 a.m. a 6:00 p.m. hora de Colombia) y no interferiran irrazonablemente con las operaciones de Kory.
• La frecuencia de las auditorias no excedera una vez por ano calendario, salvo que una autoridad de supervision lo requiera, se haya producido un incidente de seguridad que afecte datos del Cliente, o exista evidencia razonable de incumplimiento.
• El auditor debera suscribir un acuerdo de confidencialidad antes de la auditoria que cubra toda la informacion de Kory a la que tenga acceso.
• Los costos de la auditoria seran asumidos por el Cliente, salvo que la auditoria revele un incumplimiento material por parte de Kory, en cuyo caso los costos razonables seran asumidos por Kory.
• Kory podra satisfacer los requisitos de auditoria proporcionando al Cliente informes de auditoria de terceros independientes (por ejemplo, certificaciones SOC 2 de Google Cloud) que cubran las areas evaluadas.
• El alcance de la auditoria se limitara a las actividades de tratamiento realizadas por Kory en nombre del Cliente y no abarcara informacion confidencial de otros clientes de Kory ni la propiedad intelectual de Kory.

16. Responsabilidad e Indemnizacion

16.1 Responsabilidad de Kory

Kory sera responsable de los danos causados por el tratamiento de datos personales unicamente cuando no haya cumplido las obligaciones que le incumben especificamente como Encargado del Tratamiento conforme a este DPA, o cuando haya actuado al margen de las instrucciones licitas del Cliente o en contra de las mismas.

16.2 Responsabilidad del Cliente

El Cliente sera responsable de los danos causados por el tratamiento cuando este no se haya ajustado a la legislacion aplicable, cuando haya dado instrucciones ilicitas a Kory, o cuando haya incumplido sus obligaciones como Responsable del Tratamiento conforme a la seccion 6.

16.3 Indemnizacion Mutua

Cada parte indemnizara y mantendra indemne a la otra parte frente a cualquier reclamacion, demanda, sancion, multa o dano que surja como consecuencia del incumplimiento de sus respectivas obligaciones conforme a este DPA y a la legislacion aplicable en materia de proteccion de datos.

16.4 Limitacion de Responsabilidad

La responsabilidad total y acumulada de Kory conforme a este DPA no excedera el monto total pagado por el Cliente a Kory durante los 12 meses anteriores al evento que dio origen a la reclamacion, salvo en casos de dolo, culpa grave o incumplimiento de las obligaciones de seguridad y confidencialidad.

16.5 Exclusiones

La limitacion de responsabilidad no aplicara a: (a) sanciones o multas impuestas por autoridades de proteccion de datos como resultado directo de acciones u omisiones de la parte infractora; (b) reclamaciones derivadas de violaciones intencionales de las obligaciones de confidencialidad; (c) indemnizaciones debidas a terceros como resultado de violaciones de datos atribuibles a la parte infractora.

17. Vigencia y Modificaciones

17.1 Vigencia

Este DPA entra en vigor en la fecha de aceptacion de los Terminos y Condiciones por parte del Cliente y permanecera vigente durante toda la duracion del contrato de servicios. Las obligaciones de confidencialidad y seguridad de este DPA sobreviviran a la terminacion del contrato.

17.2 Modificaciones

Kory podra modificar este DPA cuando sea necesario para: (a) cumplir con cambios en la legislacion aplicable o en las resoluciones de autoridades de proteccion de datos; (b) reflejar cambios en las practicas de tratamiento de datos; (c) incorporar mejoras en las medidas de seguridad. Las modificaciones se comunicaran al Cliente con un minimo de 30 dias de anticipacion mediante notificacion por correo electronico y publicacion en la Plataforma. El uso continuado de la Plataforma despues de la entrada en vigor de las modificaciones constituira la aceptacion de las mismas.

18. Disposiciones Especificas de la Legislacion Colombiana

18.1 Registro ante la SIC

Kory Agencia Digital mantiene el registro de sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio, conforme al Decreto 886 de 2014. El Cliente, como Responsable del Tratamiento, es igualmente responsable de registrar sus propias bases de datos ante la SIC cuando la ley lo exija.

18.2 Cumplimiento del Decreto 1377 de 2013

El presente DPA cumple con los requisitos establecidos en el Decreto 1377 de 2013 para los contratos de transmision de datos entre Responsables y Encargados del Tratamiento, incluyendo:

• Identificacion clara de los roles de Responsable (Cliente) y Encargado (Kory).
• Especificacion de las finalidades del tratamiento y los tipos de datos personales tratados.
• Obligaciones del Encargado en materia de seguridad y confidencialidad.
• Procedimientos para la atencion de consultas y reclamos de los Titulares.
• Condiciones para la devolucion o eliminacion de datos a la terminacion del contrato.

18.3 Transferencias Internacionales bajo Ley Colombiana

Conforme al articulo 26 de la Ley 1581 de 2012, las transferencias internacionales de datos personales estan permitidas cuando el pais receptor cuenta con niveles adecuados de proteccion conforme a los estandares fijados por la SIC, o cuando se han implementado salvaguardas contractuales suficientes. Kory garantiza el cumplimiento de estos requisitos segun lo descrito en la seccion 12.

18.4 Canales de Atencion

Conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013, Kory pone a disposicion de los Titulares de los Datos los siguientes canales para el ejercicio de sus derechos:

• Consultas: los Titulares pueden presentar consultas a traves de info@kory.com.co. Kory respondera dentro de los 10 dias habiles siguientes a la recepcion de la consulta, prorrogables por 5 dias habiles adicionales cuando no sea posible atenderla en el termino inicial.
• Reclamos: los Titulares pueden presentar reclamos a traves del mismo canal. Kory respondera dentro de los 15 dias habiles siguientes a la recepcion del reclamo, prorrogables por 8 dias habiles adicionales.

19. Legislacion Aplicable y Jurisdiccion

Este DPA se rige por la legislacion colombiana, en particular:

• Ley 1581 de 2012 (Ley de Proteccion de Datos Personales).
• Decreto 1377 de 2013 (Decreto Reglamentario).
• Decreto 886 de 2014 (Registro Nacional de Bases de Datos).
• Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio.
• Circular Externa 005 de 2017 de la SIC (Transferencias internacionales).

Para el tratamiento de datos personales de Titulares ubicados en el Espacio Economico Europeo, se aplicaran adicionalmente las disposiciones del Reglamento General de Proteccion de Datos (GDPR - Reglamento UE 2016/679) y las legislaciones nacionales de transposicion aplicables.

Cualquier controversia derivada de este DPA sera resuelta por los tribunales competentes de la ciudad de Bucaramanga, Santander, Colombia, sin perjuicio del derecho de los Titulares de los Datos de presentar reclamaciones ante la Superintendencia de Industria y Comercio o ante la autoridad de proteccion de datos competente en su jurisdiccion.

20. Contacto

Para consultas relacionadas con este Acuerdo de Procesamiento de Datos, solicitudes de ejercicio de derechos, notificacion de incidentes o cualquier otra cuestion relacionada con la proteccion de datos personales, puede contactarnos a traves de:

• Correo electronico: info@kory.com.co
• Direccion postal: Kory Agencia Digital, CL 157A #154-169, AP 1208 T-2, Floridablanca, Santander, Colombia 681004

Para mas informacion, consulte nuestra Politica de Privacidad, nuestras Practicas de Seguridad, nuestra pagina de Eliminacion de Datos o nuestros Terminos y Condiciones.